{"id":294889,"date":"2024-05-01T00:05:00","date_gmt":"2024-04-30T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294889"},"modified":"2024-05-02T22:25:30","modified_gmt":"2024-05-02T20:25:30","slug":"schwachstelle-bei-ticket-system-der-koelnmesse-aufgedeckt-gibt-es-einen-2-modern-solutions-fall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/01\/schwachstelle-bei-ticket-system-der-koelnmesse-aufgedeckt-gibt-es-einen-2-modern-solutions-fall\/","title":{"rendered":"M\u00f6gliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?"},"content":{"rendered":"

\"SicherheitBei der in K\u00f6ln t\u00e4tigen Koelnmesse gab oder gibt es auf der Ticket-Webseite eine m\u00f6gliche Schwachstelle, \u00fcber die sich ggf. Daten von Nutzern, durch Dritte ansehen lassen konnten. Der Entdecker der m\u00f6glichen Schwachstelle hatte diese im Sommer 2023 der Messegesellschaft gemeldet. Im Januar 2024 wurde er von der Staatsanwaltschaft als \"Zeuge\" geladen, weil die Koelnmesse wohl Anzeige erstattet hatte. W\u00e4hrend der Anh\u00f6rung musste der Entdecker der Schwachstelle aber feststellen, dass die Anh\u00f6rung sich ganz schnell in eine \"Vernehmung als Beschuldigter\" wandeln k\u00f6nnte. Bei Beobachtern poppt sofort der Fall Modern Solutions im Hinterkopf auf, der gezeigt hat, wie kaputt die Bestimmungen des \u00a7 202a StGB Aussp\u00e4hen von Daten eigentlich ist. Ich versuche mal den Sachverhalt aus Sicht eines Au\u00dfenstehenden nachzuzeichnen.<\/p>\n

<\/p>\n

Kurze Hintergrundinformation<\/h2>\n

\"\"Die Koelnmesse<\/a> ist eine international t\u00e4tige Messegesellschaft mit Sitz in K\u00f6ln. Laut Wikipedia organisiert die als GmbH fungierende Messegesellschaft unter dem seit 1. M\u00e4rz 2008 als Messechef t\u00e4tigen Gerald B\u00f6se jedes Jahr rund 80 Messen, Ausstellungen und Gastveranstaltungen. Bis zu 2000 Tagungen und sonstige Veranstaltungen finden j\u00e4hrlich w\u00e4hrend und au\u00dferhalb der Messen in den Kongresszentren der Koelnmesse<\/a> und weiteren Orten statt.<\/p>\n

\"Ticketsystem
\nTicketsystem Messekoeln zur Gamescom 2024<\/p>\n

Je nach Messe bzw. Veranstaltung stellt die Koelnmesse auch ein System zum Ticket-Verkauf unter wechselnden URLs f\u00fcr die Veranstalter und Messebesucher zur Verf\u00fcgung. Obiger Screenshot zeigt die Webseite des Ticketsystem Koelnmesse zur Gamescon 2024 (das Impressum verweist auf die Koelnmesse GmbH).<\/p>\n

Durch Zufall auf Schwachstelle gesto\u00dfen<\/h2>\n

Ein Benutzer, der mit dem Alias apex_1337<\/em> auf der Plattform X unterwegs ist, wollte sich ebenfalls ein Ticket f\u00fcr die Gamescon \u00fcber die Plattform besorgen. Da er im Bereich IT-Sicherheit (IT-Sec Student) unterwegs ist, fiel ihm durch Zufall eine m\u00f6gliche Sicherheitsl\u00fccke auf den Webseiten der Koelnmesse auf. Es war ihm bei einem Test m\u00f6glich, ohne Authentifizierung auf die Daten des eigenen Accounts zuzugreifen und ein angelegter zweiter Testaccount war ebenfalls mit seinen Daten ohne Authentifizierung einsehbar – so die Aussage.<\/p>\n

<\/a><\/p>\n

Ein b\u00f6swilliger Entdecker dieser m\u00f6glichen Schwachstelle h\u00e4tte \u00fcber diese die Daten von Kunden der Koelnmesse abrufen k\u00f6nnen. Meinen Informationen nach hat der Entdecker der m\u00f6glichen Schwachstelle die Koelnmesse zum 14. Juli 2023 \u00fcber den Sachverhalt informiert und auch nochmals am Folgetag versucht, telefonisch nachzufassen. Es ist allerdings nichts passiert – daher hat der Entdecker der m\u00f6glichen Schwachstelle das Ganze Mitte August 2023 in allgemeiner Form, ohne Details zu nennen, in einer Reihe von Tweets<\/a> \u00f6ffentlich gemacht.<\/p>\n

Das Ganze ist an mir vorbei gegangen, wenn ich mir die Tweets anschaue, ist der Vorgang aber wohl mehr oder weniger versandet. Potentiell d\u00fcrfte das Ticket-System der Koelnmesse betroffen sein. Normalerweise gehe ich davon aus, dass so etwas von den betroffenen Unternehmen professionell gehandhabt, die Schwachstelle beseitigt und der Melder dann \u00fcber den Vollzug informiert wird.<\/p>\n

Messegesellschaft: Wissen wir seit 2023 …<\/h2>\n

Erg\u00e4nzung: Zum 2. Mai 2024 t\u00f6nt die Koelnmesse (siehe folgender Tweet<\/a>), dass der Fall seit 2023 bekannt sei und es kein Daten-Leak bei der gamescom gegeben habe.<\/p>\n

\"Koelnmesse<\/a><\/p>\n

Die Daten der \"Besuchenden\" seien sicher. Patrik, alias @apex_1337, merkt dazu an, dass das BSI ihm den vor einigen Tagen geschilderten Sachverhalt als plausibel und nachvollziehbar best\u00e4tigt. H\u00e4lt man im Kopf nicht aus – w\u00e4re dann Zeit, den Sachverhalt offen zu legen – denn wenn die Koelnmesse recht hat, w\u00e4re das alles ja kein Problem.\u00a0<\/span><\/p>\n

Anzeige der Messegesellschaft<\/h2>\n

Wenn ich es (aus diesem Artikel<\/a>) richtig interpretiere, k\u00e4mpft die Koelnmesse einerseits gegen \"Ticket-Missbrauch\". Andererseits hat es m\u00f6glicherweise einen Angriff auf die Server der Koelnmesse gegeben. Mit beiden Themen hat der Entdecker der potentiellen Schwachstelle m. W. aber nichts zu tun. Jedenfalls wurde von Seiten der Koelnmesse GmbH eine Anzeige \"wegen Verdachts der Computersabotage\" gestellt. Und damit bekam die Meldung der m\u00f6glichen Schwachstelle wohl eine g\u00e4nzlich andere Richtung.<\/p>\n

<\/a><\/p>\n

Zum 26. April 2024 hat sich apex_1337<\/em> dann in einer Serie von Tweets zu seinen Erfahrungen in diesem Fall ausgelassen – dort ist mir der Sachverhalt erstmalig aufgefallen. Im Hinblick auf die gemeldete potentielle Schwachstelle hat die betreffende Person nichts von der Koelnmesse geh\u00f6rt, schreibt aber, dass er im Januar 2024 Post im Auftrag der Staaatsanwaltschaft K\u00f6ln bekam und als \"Zeuge\" zur Anh\u00f6rung geladen wurde. Kann ja passieren, wenn die Ermittler versuchen ggf. alle Informationen zu bekommen, die ermittelbar sind.<\/p>\n

Das Gespr\u00e4ch mit dem anh\u00f6renden Polizeibeamten war aber wohl nicht so, wie man sich das Thema \"als Zeuge vernommen\" vorstellt – wie ich obigen Tweets und einem Gespr\u00e4ch mit dem Betreffenden entnehme. Die Anh\u00f6rung lief zwar weiterhin \"als Zeuge\", aber der befragende Beamte \u00e4u\u00dferte wohl \"Ich bekomm hier Bauchschmerzen…\" gegen\u00fcber dem Zeugen. Den Tweets ist zu entnehmen, dass es bei der Koelnmesse einen Vorfall gegeben haben muss, bei dem laut Polizei \"ein immenser Schaden und Ausfall von Servern zu verzeichnen war\". Der Eindruck des Zeugen war, dass da versucht wurde, dem Entdecker und Melder der Schwachstelle etwas \"in die Schuhe zu schieben\".<\/p>\n

Die Leute von xboxdev.com haben in diesem Artikel<\/a> noch einige Informationen zu m\u00f6glichen Hintergr\u00fcnden der Anzeige durch die Koelnmesse geschrieben. Ich kann an dieser Stelle nicht erfassen, ob da in den Ermittlungen lediglich etwas in die falsche Richtung gelaufen ist, oder ob es eine konkrete Anzeige gegen den Entdecker der Schwachstelle gab. apex_1337<\/em> hat inzwischen eine Meldung beim Landesdatenschutzbeauftragten von Nordrhein-Westfalen sowie beim BSI bez\u00fcglich der Sicherheitsl\u00fccke und der m\u00f6glichen DSGVO-Verletzung gemacht.<\/p>\n

Minenfeld \u00a7 202a StGB<\/h2>\n

Mir sind die Details der m\u00f6glichen Schwachstelle weiterhin unbekannt, man kann einiges aus den Tweets interpretieren. Was mich aber sofort getriggert hat, waren die Tweets vom 26. April 2024, in der der Betroffene seine Sicht der Dinge schildert. Mir kam sofort die Erinnerung an den Fall Modern Solutions in den Sinn, wo das die Schwachstelle zu verantwortende Unternehmen Anzeige bei der Staatsanwaltschaft K\u00f6ln stellte. Das Ganze endete vorl\u00e4ufig mit einem Strafbefehl \u00fcber 5.000 Euro gegen den Entdecker der Sicherheitsl\u00fccke – wobei gegen dieses Urteil Revision eingelegt wurde (siehe nachfolgende Links).<\/p>\n

Es mag auch sein, dass in obigem Fall, wie er sich derzeit darstellt, die Zeugenanh\u00f6rung sich in die falsche Richtung entwickelt hat oder von apex_1337<\/em> so interpretiert wurde. Die Geschichte verdeutlicht aber erneut, auf welches Minenfeld sich Entdecker und Melder einer Schwachstelle in Bezug auf die Bestimmungen des \u00a7 202a StGB<\/a> \"Aussp\u00e4hen von Daten<\/a>\" begeben.<\/p>\n

Platt ausgedr\u00fcckt: Deutschland ist in Sachen Cybersicherheit sehr wackelig aufgestellt – um aber dem Ganzen etwas aufzusetzen, haben sich Politik und Justiz etwas ganz besonderes in Form von \u00a7 202a StGB \"Aussp\u00e4hen von Daten\" einfallen lassen. Der Fall Modern Solutions und obiger Fall verdeutlichen einmal mehr, dass Leute, die auf eine Schwachstelle sto\u00dfen, bei einer Meldung sehr schnell in Probleme laufen. F\u00fcr die Cybersicherheitskultur ist das eine Katastrophe – den Entdeckern bleibt nur \"auf Scholz\" zu machen und sich \"auf nichts wissen und sich nicht erinnern k\u00f6nnen\" zu berufen.<\/p>\n

heise hat die grunds\u00e4tzliche Problematik des Hackerparagraphen im Beitrag Kommentar zu Modern Solution: Der Hackerparagraf muss endlich weg!<\/a> aufgegriffen und meint \"Das Modern-Solution-Verfahren ist nur eins in einer langen Reihe von Fehltritten der deutschen Justiz, wenn es um Digitalpolitik geht.\u200b<\/em>\" heise berichtete in diesem Artikel<\/a> zwar, dass Justizminister Buschmann eine Novellierung des Hackerparagraphen anstrebt. Aber das Vorhaben liegt f\u00fcr mich in weiter Ferne.<\/p>\n

\"Lilith<\/a><\/p>\n

Lilith Wittmann hat zum Fall Koelnmesse noch obige Tweets<\/a> mit Handlungsempfehlungen bei solchen Entdeckungen gegeben. Der Tipp lautet, eine Vorladung zur Zeugenvernehmung zu ignorieren.<\/p>\n

Meldungen von Schwachstellen k\u00f6nnen auch \u00fcber Redaktionen oder Blogger erfolgen. Hier im Blog gehe ich bei Leserhinweisen auf Schwachstellen i.d.R. auch den Weg \u00fcber die Meldung bei den Datenschutzaufsichtsbeh\u00f6rden. Dann wei\u00df ich, dass sich was bewegt.<\/p><\/blockquote>\n

Cybersecurity & Politik: L\u00e4uft …<\/h2>\n

Und zum Abschluss m\u00f6chte ich noch etwas unfreiwillig Komisches in Sachen \"Politik goes Cybersecurity\" zum Besten geben – was im Grund tieftraurig ist und das ganze Dilemma zeigt.<\/p>\n

\"Notfallschrank<\/a><\/p>\n

Unter der Rubrik \"Politik, die tut was\" und weil Deutschlands Kommunen massiv unter mangelnder Cybersicherheit und entsprechenden Vorf\u00e4llen leiden, gibt es in Hessen den \"Notfallschrank gegen Hackerangriffe f\u00fcr hessische Kommunen\". Innenminister Roman Poseck (CDU) begutachtete der Meldung der Hessenschau<\/a> vom Montag, den 29. April 2024, zufolge bei einem Besuch des CyberCompetenceCenters Hessen3C in Wiesbaden auch einen Schrank auf R\u00e4dern mit 20 verbundenen Laptops f\u00fcr einen provisorischen IT-Neustart von Gemeinden. Damit die Kommunen nach einem Hackerangriff nicht \"nackt\" bez\u00fcglich ihrer IT dastehen. L\u00e4uft.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>
\nAnzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a>
\nIT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a>
\nUrteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>
\nHauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><\/p>\n

Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a>
\nCDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zur\u00fcck<\/a>
\nCDU Connect: DSGVO-Pr\u00fcfverfahren der Landesdatenschutzbeauftragten l\u00e4uft<\/a>
\nCDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Bei der in K\u00f6ln t\u00e4tigen Koelnmesse gab oder gibt es auf der Ticket-Webseite eine m\u00f6gliche Schwachstelle, \u00fcber die sich ggf. Daten von Nutzern, durch Dritte ansehen lassen konnten. Der Entdecker der m\u00f6glichen Schwachstelle hatte diese im Sommer 2023 der Messegesellschaft … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294889","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294889"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294889\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}